數據治理雙重面向之協同路徑
2023-05-30 08:15:25丁倍穎
海南金融 2023年4期
丁倍穎
摘? ?要:大數據時代,數據要素的經濟價值不斷凸顯,國內外已逐漸從個人信息保護轉向數據的流通利用,以期促進數據價值的釋放。然而,我國現行立法理念過于強調對個人信息的絕對賦權,而較忽略數據的流通價值,且實踐中的事后救濟效果尚不達預期,由此有必要重塑數據治理之雙重理念,在確保數據安全的基礎上最大限度釋放數據活力,形成對個人信息有限保護與流通利用的良性閉環。在制度設計上,可參考域外數據信托實踐,引入信義關系并采取中國法語境下解釋進路,根據受托人的不同構建中國式數據信托模式以打破信賴赤字,平衡各方主體的利益需求并完善我國數據交易生態系統。
關鍵詞:個人信息;數據治理;數據流轉;數據信托
DOI:10.3969/j.issn.1003-9031.2023.04.005
中圖分類號:D912.28? ? ? ? ? ? 文獻標識碼:A? ? ?文章編號:1003-9031(2023)04-0052-13
一、引 言
隨著互聯網、云計算、AI等新技術的飛速發展,人類社會已經進入由海量數據構成的信息時代。在海量數據席卷的背景下,數據成為一種新型生產要素和戰略性資產,受到了前所未有的關注。目前,域外正致力于推動以數據為基礎的戰略轉型,積極布局大數據發展戰略,我國近年也已將數據要素市場化配置上升至國家戰略。
然而,海量數據下的各基本單元是一個個自然人主體的個人信息,其商業價值被不斷凸顯。在數據治理中,對數據主體個人信息權益保護與數據自由流動間如何平衡的問題,是各國熱議不斷的話題。從立法角度看,國內外普遍對具有人格權益的個人信息保護優位于數據財產權益。歐盟《統一數據保護條例》(General Data Protection Regulation,GDPR)專門確立了個人信息人格權的嚴格保護模式;我國《數據安全法》《個人信息保護法》與《網絡安全法》,形成了數據合規領域的“三駕馬車”,對個人信息保護采用“知情—同意”模式。近來,歐盟陸續出臺《數據治理法案》(Data Governance Act, DGA),《數據法》(Law Act)提案等立法建議,試圖修正GDPR潛在的制度缺陷,促進各部門和成員國間的數據分享;英國于2022年宣布《數據改革法案》(Data Reform Bill),尋求創建一種更靈活、以結果為中心的方法減輕企業的負擔,以創建一個新的有利于增長和值得信賴的英國數據保護框架,數據的經濟價值被愈發受到重視。
從司法實踐來看,數據主體存在怠于行權或行權中由于舉證責任較高導致其難以實現私力救濟的現狀,故即使立法上欲強調對于個人數據的保護,但實際并未達到預期救濟效果,同時絕對賦權方式反而限制數據要素的資源化利用,不利于商業化數據活動開展與數據活力的釋放。數據經濟的本質結構應為數據經營者以數據資產化追求為中心,圍繞數據收集、利用、開發甚至經營展開活動,由此而形成復雜且動態的數據活動和利益關系,故在當前數字經濟背景下,我國現行對個人信息絕對賦權的理念亟待轉變,除強調個人信息的私人利益屬性外,還應看到社會公共利益屬性。在數據治理中,應注重雙重面向的協同運行,不僅應保證個人信息權益不外泄,還應確保數據的有序流通利用,盤活數據資產,釋放數字紅利。因現行賦權保護模式不足,學界嘗試引入各種理論以探尋最優的個人數據治理路徑,但鮮少有從協同數據安全與數據流通的雙角度進行探討,雖有學者嘗試引入信托機制,通過對數據控制者施加信義義務以實現數據控制者與數據主體間權利義務的不均衡配置,但大多僅關注到個人信息安全的維度,而未充分注意數據流通利用的價值。
本文從現行法和司法實踐出發,反思我國法律架構的不足,重塑數據治理雙重理念以打破信賴赤字,促進數據流轉交易。在制度設計上,為平衡個人權益保護與數據要素的流通交易,激勵數據主體“出售”數據的意愿,將引入兩種典型的域外數據信托模式,并在此基礎上結合我國現有法律語境,試圖構建可行的中國式數據信托運行邏輯,力圖在確保數據安全的前提下最大限度發揮數據的流通價值,充分釋放具有公共屬性或商業屬性的數據活力,實現對個人數據有限保護與商業化利用的良性閉環。
二、對我國數字經濟有關法律的反思與重塑
(一)對現行法律架構的反思
1.立法理念上:對數據流通價值重視不足
目前,世界各國都將個人信息保護視為一項基本人權,對個人信息權益的保護采取了不同立法模式,如以美國為代表的分散立法保護模式和以歐盟為代表的統一立法保護模式。2012年,我國開始移植域外的個人信息保護制度,并于2021年初步建立了數據要素市場的基礎法律框架。《數據安全法》《個人信息保護法》與《網絡安全法》形成我國數據合規的“三駕馬車”。鑒于《個人信息保護法》的規范思路與大體內容多移植于歐盟的GDPR,因此有必要先厘清該法的設計理念與基本定位。
GDPR被譽為“史上最嚴個人數據保護條例”,其從公民基本權利與自由出發,確立了嚴格的監督管理標準,是一部公民基本權利保護法,也是一部歐洲市場統一法。歐盟致力于建立“數據單一市場”,欲統一數據保護水平,強化個人信息保護權,促進個人信息在歐盟境內的自由流通,所以GDPR在本質上是一部地地道道的以經濟為目的的法。然而GDPR的制度設計背離初衷,忽略了個人信息流通利用的目的。學者高富平(2022)指出,該法第六條以“合法利益”作為合法基礎,看似給予數據控制者自主使用數據的權利,但實則寬泛了合法性基礎,效果相當有限。同時,即使訂立或履行合同可作為合法基礎,但鑒于數據再利用或于初始目的外使用的最安全方式仍為設置同意,故最終仍導致同意泛化。此外,在GDPR框架下,數據控制者僅享有在特定目的范圍內使用個人信息的權利,且個人可以隨時撤回同意,行使刪除、拒絕等權利,故對個人信息的利用仍受制于數據主體的個人意志,數據的流通利用仍十分有限。
由此觀之,GDPR在設計理念上對個人信息權益的保護并非絕對賦權模式,歐盟委員會意識到此制度缺陷后,便著手制定促進數據流通利用的制度以試圖彌補GDPR存在的制度缺陷。2022年,歐洲議會就歐盟DGA進行投票表決并最終獲得議會批準,該法案旨在促進整個歐盟內部和跨部門之間的數據共享,增強公民和公司對其數據的控制和信任,并為主要技術平臺的數據處理實踐提供一種新的歐洲模式。通過立法,歐盟將建立關于數據市場中立性的新規則,促進公共數據的再利用,并在戰略領域創建共同的歐洲數據空間。
我國《個人信息保護法》主要采用“知情—同意”模式,強調私人利益屬性,賦予數據主體對個人信息使用的控制權,并將數據流通利用中的再使用權也配置給了個人,雖允許通過用戶協議及其他管理規范進行適當變通,整體思路上與GDPR的規范模式大同小異,同樣未避免GDPR掣肘數字經濟的潛在缺陷,無法適應當前數據利益關系調整的復雜需求。考慮到現在域外立法已轉變數據治理的理念,愈發強調數據分享與流通利用價值,且單純的個人信息人格權規范模式已捉襟見肘,即使進行了種種變通,也仍然無法消除牽強性與不適應性。故我國在解釋適用《個人信息保護法》時應盡量避免落入GDPR單向保護維度的制度缺陷,轉為強調協同發展數據治理的雙重面向。
綜上,發揮數據流通交換價值是現今數據時代發展經濟和提升政府治理能力的必經之路,現行的賦權保護模式過于強調絕對賦權,對個人信息所具有的公共屬性認識不足,將妨礙個人信息的充分利用,影響數據要素價值的釋放。在制度理念上,應盡力實現個人信息保護與數據開發利用的二元價值平衡,協同數據治理的雙重面向。
2.司法實踐中:事后救濟效果不佳
實踐中涉及數據主體個人信息權益被侵害的案件個數不多,且敗訴案件的理由多為數據主體無法提供充分證據證明數據控制者存在故意泄露其個人信息的行為。在現行個人權利保護路徑下,數據主體行權意愿不高,即便行權,數據主體也很難證明數據控制者明顯違背“知情—同意”原則收集使用證據,私力救濟較難實現。盡管2021年正式實施的《個人信息保護法》第69條①明確了個人信息侵權采取過錯推定的歸責原則,數據主體也仍需證明存在違法行為與損害事實,并且目前司法實踐中僅有兩例適用了該條文,由此可推知個人信息權益保護糾紛之司法適用仍存在較多困境①。法律規范行為主要有事前和事后兩種機制,前者是預防型的,后者是反應型的。現代社會則越來越傾向于預防型規制,對于個人數據的保護,亦應側重于事前預防而非事后救濟。我國規定的“知情—同意”模式雖表面上看似要求數據控制者與數據主體事先進行協商與授權,但實際效果來看用戶處于“拒絕即無法使用相關服務”的尷尬境地,故在合同成立階段,數據控制者可能并未真正“告知”,數據主體也并未真正“同意”,真正的“平等自愿”難以實現,事前預防效果自然不達預期。在真正產生糾紛時,數據主體也面臨舉證責任等適用難題,故事后救濟效果也差強人意。
歸根結底,現行的賦權模式過于籠統與原則,立法上未充分考慮到公民行權的難度,無法通過數據主體行權實現規制數據控制人行為的制度效果,對于那些愿意花費較高成本,積極進行數據合規管理的數據控制者而言,也不能安心收集、處置數據,釋放數據的紅利價值。
(二)重塑數據治理理念:安全性與流通性的兼顧
信息本身具有中立性。需明確的是,我們并不禁止數據控制者使用個人信息,而是禁止其不當使用或濫用個人信息的行為,故現行立法上對個人信息的使用基本由個人決定的這一理念并不妥當。大數據的發展不僅是技術的變革,也是思維方式和治理模式的變革。我國在數據治理中應兼顧數據安全與數據流通的雙重面向,協調個人權益保護與數據交易流通之間的關系,轉向雙維度數據治理框架,平衡數據主體、數據控制者、國家等不同主體的利益需求以實現良性互動。
隨著數據對經濟發展的巨大價值作用不斷凸顯,國內外或多或少開始轉變數據治理的單向度思維。2021年,中國知識產權發展狀況新聞發布會上介紹國家知識產權局已成立工作專班,形成了充分尊重數據處理者創造性勞動和資本投入、承認和保護數據處理者的合理收益等原則性思路。據介紹,目前國家知識產權局在浙江、上海、深圳等地開展數據知識產權保護試點,力爭在立法、存證登記等方面取得可復制可推廣的經驗做法。立法方面,2022年5月,北京市經濟和信息化局起草了《北京市數字經濟促進條例(征求意見稿)》,以推動數據要素的流通利用,鼓勵單位和個人通過市場化方式依法開放非公共數據,促進數據融合創新。2022年4月歐洲議會通過了歐盟DGA;5月七國集團(Group of Seven,G7)的數字部長簽署發布部長宣言,通過了《促進可信數據自由流動計劃》(Data Free Flow with Trust, DFFT),共同承諾促進數據自由流動和信任,監督和促進數字市場的競爭。由此可見,國內外都已逐漸意識到數據流通將帶來的巨大價值,并愈發關注到個人數據所帶有的公共利益屬性。
簡言之,欲真正協同數據治理的雙重面向,平衡數據安全與數據流通的雙價值理念,亟待解決的核心問題就是確保個人信息安全,建立信賴關系,打破信賴赤字,激發數據主體分享數據的意愿。正如DGA的主要制定人之一Dr.Malte Beyer-Katzenberger所言:“長期阻礙著數據共享或者重復利用的,從來都不是人們共享意愿的缺位,而是由于沒有制度或機制在保護個人信息安全、消弭商業合作不信任、保障知識產權的前提下,真正能夠實現數據的重復利用與共享”①。
由此有必要思索是否有一種可行的制度架構能確保在個人信息安全的基礎上充分使數據控制者處理所獲數據并進行增值利用;同時,在數據的流通過程中又能充分激勵數據主體“分享”個人信息并形成信賴關系。“數據信托”制度或可完成數據治理的雙重面向,有效解決數據主體與數據控制者間不平衡的權利義務關系,建立信賴基礎。數據信托將給予數據主體一種選擇權,不僅可滿足不同用戶的隱私需要,使得公民對其個人數據的不同“定價”得到實現,而且可使對數據市場的規制由事后變為事前,最大限度預防損害公民個人數據現象的發生,并充分發揮數據的流通價值。
三、數據信托:協同數據治理之雙重面向
(一)信義關系的引入
2021年2月,《麻省理工科技評論》發布了“全球十大突破性技術”榜單,“數據信托”位列其中,并指出該技術在未來2~3年將逐步成熟。數據信托提供了一種替代方法,為隱私與安全方面的長期問題提供潛在解決方案,幫助發揮數據的最大價值。信托是指委托人基于對受托人的信任,將其財產權委托給受托人,由受托人按委托人的意愿以自己的名義,為受益人的利益或特定目的,進行管理或處分的行為。數據信托是指在數據主體與數據控制人之間創設出信托法律關系,數據控制人基于數據主體的信任對數據享有更大的管理運用權限,同時也需承擔更嚴格的法律義務。該制度有利于解決數據領域中的“信任赤字”,打破數據主體與數據控制者之間不平衡的權利關系。
“數據信托”這一概念最先在英國和美國提出,隨后在世界范圍內廣泛傳播,發展出兩種不同的數據信托構想。英國式數據信托的核心思路是自下而上地建立一個全新的第三方機構進行數據管理。2015年,肖恩·麥克唐納(Sean McDonald)和基思·波卡羅(Keith Porcaro)構想出公民信托的私人組織,主張由受托人保護受益人的數據資產利益;2016 年,尼爾·勞倫斯(Neil Lawrence)提出數據信托是一個代表其成員管理數據的共同組織,并規定了數據共享條件和信托組織的注意義務;2017年,英國政府在《英國人工智能產業發展報告》中明確提出,應發展數據信托支持組織以定義數據的交易與共享;2019 年,英國開放數據研究所(Open Data Instititute,ODI)提出數據信托的定義為“提供獨立數據管理的法律結構”,并在城市數據共享等三個領域展開試點。美國式數據信托則以巴爾金(Jack M.Balkin)“信息受托人”理論為核心,主張由數據控制人作為受托人進行管理,而非尋求獨立第三方。2018年,美國《數據保護法》(Data Protection Act)便體現了巴爾金的理論,明確在線服務提供商應在收集、使用最終用戶數據時承擔注意、忠誠、保密義務。但也有批判者認為“信息受托人”理論并不能解決信息不對稱和濫用問題,提出數據控制者對數據主體的受托義務與對股東的忠實勤勉義務天然存在利益沖突,故數據控制者的雙重受托人身份是內在緊張的。
信賴關系是信義義務的基礎,也是以數據為核心的互聯網運營模式中必不可少的構成要件。目前在我國大社會環境下,個人信息泄露與濫用事件頻發,信息繭房、定向廣告投放現象導致一次次削弱數據主體對數據控制者的信任感。在缺乏信任感,甚至可能出現信任危機的境況下,數據要素市場的發展必將大為受阻,由此有必要引入信義制度進行補足,強化數據流通利用中的信義義務關系,激發數據主體“交換”“分享”數據的意愿,實現基于個人信息保護的數據流通交易并促進公共數據的再利用。我國“信息信義義務”的理念由吳泓最先引入,其主張個人信息保護法應構建一個在“信賴”理念指引下的信義義務制度,作為對現有制度的補充。后續也有一些學者明確提出對數據控制者施加信義義務,要求自動駕駛汽車制造商及其他商業場景中的數據控制者以數據受托人身份管理占有的個人信息,強化數據受托職責以彌補數據主體在隱私管理中的能力不足。
(二)域外數據信托實踐研究
如前所述,英國式和美國式的數據信托方案中,在受托人的選擇上有所不同。英國采用引入獨立第三方作為數據信托受托人,美國則將受托人的信義義務賦予數據控制者。英國ODI在數據信托領域進行了多次試點,在報告中指出,數據信托可以被運用于諸多場景中,如市區可以利用數據信托決定如何使用和分享由建筑環境中的傳感器收集的數據,使市民更方便瀏覽城市;企業則可利用數據信托滿足消費者對共享和使用數據進行更多參與性決策的需求,或雙方為一個共同的目標進行合作;非政府組織(Non-Governmental Organization,NGO)則可利用學界和商界創建的數據解決實際問題以更好地推動數據共享。ODI目前已在不同領域試點多個應用項目,包括與野生實驗室科技中心(WILDLABS Tech Hub)合作,探索數據信托是否可用來協助共享圖像數據以訓練識別算法,幫助邊境管制人員識別非法動物和動物產品,打擊非法野生動物貿易;還與大倫敦地區管理局(The Greater London Authority,GLA)、格林威治皇家自治市(The Royal Borough of Greenwich,RBG)共同探索數據信托在城市和專項行動中的應用,包括為電動汽車識別實時停車位、檢測和控制公共供暖系統運行等,幫助城市以更智能的方式運作。今年,ODI還將與大都會警察局(The Met)合作制定開放數據戰略,旨在幫助其了解人們希望更輕松地訪問數據和信息的規模和類型。該項目同時會和大都會博物館合作,幫助他們了解和應對開放方面的挑戰。可見英國試點項目中,運用數據信托的主要目的是希望促進數據共享,提升社會效益,滿足城市發展需要。但RBG和GLA也認為,似乎需要對數據進行一些收費,以便為數據信托的持續管理和運行提供收入,并使向數據信托授權的數據提供者獲得一些經濟回報。美國數字信托實踐大多在小范圍內試行,谷歌的人行道實驗室(Sidewalk Labs)欲使用“公民數據信托”來應對開發“智能城市”進程中對數據隱私的擔憂,但最終因難以承受的巨額投入和社會公眾的抗議而終止;一些美國互聯網公司亦積極嘗試應用數據信托模式管理用戶數據。
就第三方數據信托理論,日本于2017年開始探索“信息銀行”。與傳統銀行實施存貸款來融通資金一樣,“信息銀行”通過保存個人或公司所持有的數據,經其同意后提供給需求方,從而獲得數據需求方的傭金,以此維持日常運營并支付給個人或公司作為對價。就該模式,近來我國一些企業也已著手創建類似平臺,基于用戶授權機制提供數據資產管理服務,為個人、家庭建立分布式賬本,幫助用戶搜集、存儲、使用數據,提供模型、算法;根據個人需要智能購買商品和服務,實現用戶數據資產價值最大化①。
域外數據信托理論與實踐,對我國數據信托生態系統的構建具有重大借鑒意義。我國數據信托的構建可分兩種情況進行討論。第一種即數據主體需要使用數據控制者提供的網絡服務而“被動”提供數據的情況下,通常會在使用前簽署“用戶協議”,在使用中產生用戶使用習慣等其他衍生數據。該情況下,可直接對數據控制者施加信義義務,使其作為受托人忠實勤勉地管理用戶數據,保證在不泄露個人隱私的情況下使用所獲數據,一旦隱私泄露產生爭議,由數據控制者承擔舉證責任。一是可節省雙方成本,達到個人信息保護的目的;二是能賦予數據控制者利用用戶在使用過程中所產生“衍生數據”或“伴生數據”的權利,充分釋放數據價值。數據主體雖提供了個人信息,但也無償使用了控制者所提供的網絡服務,故沒有資金往來的需要。第二種情況則需引入具有專業數據管理能力的第三方數據信托機構,以激勵數據主體“主動”提供個人信息來交換價值。獨立第三方機構可確保雙方建立信賴關系,并更好運營數據要素,該模式下會產生雙層信托關系,并進行資金流轉以實現數據治理雙重面向的協同。
四、中國法律語境下數據信托構建及規范路徑
(一)數據信托引入我國法律環境的前置問題探討
數據信托制度下,數據主體僅需與數據控制者達成保障個人信息安全的總括性合意即可,規避了現行“知情—同意”模式下數據主體需花費大量時間閱覽冗長的格式條款并逐項表示同意的弊端,數據主體不會因知情缺陷而陷入非理性決策,采用數據信托模式能更好保障當事人的意思自治。此外,數據信托有助于解決舉證難問題。信托機制天然包含舉證責任倒置,我國《全國法院民商事審判工作會議紀要》(簡稱《九民紀要》)第94條明確過錯舉證責任倒置規則,規定在資產管理損害賠償案件中由受托人舉證證明自己盡到資管義務②。在個人數據信托中同樣可適用該規則,要求具有專業能力的受托人對信托財產的交易公正性負舉證責任,以降低實踐中數據主體的舉證不能和舉證不足問題。
以上是從數據信托有助于強化個人信息保護為切入的制度優勢,我們同樣也應看到數據信托在促進數據資產流轉,并激勵數據主體“出賣”其數據方面的積極作用。鑒于現實中人們對隱私保護的態度不一,且在能確保數據安全的情況下,那些愿意拿信息換取資金的數據主體將產生較大的交換意愿,較為重視自身隱私的數據主體則可以選擇少交換或者不交換,總之通過數據信托制度,各數據主體可根據自身意愿將個人信息進行不同程度的分享,促使數據要素發揮最大價值,某種程度上可實現互利共贏。
2016年11月,中航信托在我國發行了首例數據信托產品,委托人數據堂的數據資產作為信托財產,受托人中航信托委托數據服務商對特定數據資產進行運用增值并產生收益,向社會投資者進行信托利益分配。在該例中,委托人數據堂的數據資產權屬清晰,類似數據資產在傳統信托制度上的應用,一定程度體現了數據要素的流通利用價值。“主動式”個人數據信托,是由一個個獨立的數據主體將個人信息“委托”給受托人管理的模式,這些單獨的個人信息本身其實并無財產性價值,僅當受托人在集合有諸多主體信息的數據池中,運用大數據技術對數據進行分析與處理后所形成的數據產品方可產生經濟收益。由此,需要通過資金的流動來激勵數據主體提供個人信息,并吸引社會資金投入以更好運營數據信托。
數據信托制度在我國法律語境下構建前尚需探討并明確兩個前置問題。一是產權界定。數據信托的第一環節便是委托人將自己所擁有的財產或權利委托給受托人,由此必然無法繞開數據是否可以作為信托財產的疑惑。二是構建中國式數據信托,在ODI《數據的信托:法律和治理思考》中探討了五種可能采用的數據信托模式及相應的法律架構,包括傳統法律信托模式;合同架構模式;公司模式;團體利益公司模式;公共模式。報告分析了各模式的優劣,并最終認為數據信托沒有統一范式,每個數據信托都應有自己的、單獨設計的、最能平衡利益相關方的法律架構,報告優先推薦合同模式與輔之以合同模式的公司模式。本文認為我國數據信托制度可以直接適用《中華人民共和國信托法》(以下簡稱《信托法》),下面對上述兩個問題進行闡述。
1.產權界定
明確數據權屬是利用與交易數據的前提。在數據信托環節,信托財產必須具有確定性,且必須是委托人合法所有的財產或財產權利。數據本身并無財產性,只有經過組織、挖掘、利用等行為數據才具有價值,故數據信托的信托標的應確定為數據財產權,即具有財產權屬性的個人數據權利。如薩利所言,數據因為其所蘊含的價值而被法律賦予權利,這種權利使其和其他財產在法律上平起平坐,受到法律保護。
我國現行法上尚未對數據要素的權屬進行明確界定。本文認為應對數據進行分類分級,將數據類型劃為三類,即原始數據、衍生數據與創生數據。若根據數據的人身依附性與勞動投入程度進行劃分,存在爭議的僅是處于中間狀態的衍生數據。原始數據由個人提供,必然屬于數據主體本身;創生數據則是平臺企業進行深度加工處理,進行“去個人化”脫敏過程后所形成的新數據資產,平臺投入巨大人力與資本,且無法識別到特定個人,故該類數據應屬于平臺企業自身。對于衍生數據,平臺企業未進行過深度加工,且有一定的人身依附性,量化該類數據雙方的投入程度較為困難,因此可以實行數據共有制度,由此產生的數據財產權益由數據控制者和數據主體所共享。如馬爾吉里分類中的“中級關系信息”,是個人與數據企業的“共享準財產權”。由此在面對使用數據控制者而“被動”提供個人信息的情況下,數據主體可以將個人原始信息及使用過程中產生的衍生數據攜帶至其他第三方數據信托機構進行信托,我國《個人信息保護法》第45條①也首次規定了數據攜帶權。同時,數據控制者也享有在確保不泄露個人信息的情況下使用數據的權利,如此便可實現數據安全與數據流通的平衡。
2.《信托法》下中國式數據信托的解釋進路
在我國法上,談及數據信托這一概念必然會使我們首先聯想到現行《信托法》制度。在探討傳統法律信托模式的缺陷時,ODI報告指出英國現行法上并不將數據視為傳統信托法上的財產,且傳統信托應有明確的受益人,而數據信托可能為公共利益而設立,故而并沒有具體受益人。但在我國法上,數據信托制度不會遇到類似障礙。如前所述,我國法上的信托財產包括財產權利,故數據財產權可成為信托標的。此外,《信托法》第六章規定了公益信托情形,在《信托法》第11條第5項信托無效情形下,所用術語為“受益人或者受益人范圍不能確定”,由此可解釋出受益人僅需明確到一個范圍即可,而非必須明確到具體的某一個受益人。故從解釋論角度而言,我國數據信托的構建在現行《信托法》下亦有適用空間。
信托財產。《信托法》第14條第1款、第2款①規定了信托財產的范圍,包括受托人因承諾信托而取得的財產以及因信托財產的管理運用、處分或者其他情形而取得的財產。由此產生疑問,數據控制者在對收集的個人信息進行深度處理與加工后的數據產品是否屬于數據信托?本文認為數據信托財產范圍應僅包括初始的個人數據而不包括處理后形成的數據。數據主體信托數據的目的是希望確保個人信息安全,并能在此基礎上獲得部分收益,其并非有獲取處理后數據的想法。以往信托財產的再度取得是通過管理或處分行為而實現,但在數據信托中,數據控制者所處分的是由眾多數據主體提供的信息合集,在集合到一定程度的基礎上進行處理與挖掘所形成的新數據產品,故處理后的數據并非在每個數據主體信托財產的管理和處分中所取得。此外,學者葉嘉敏(2022)指出,數據控制者在處理數據前須進行復制,如此便可實現原始數據與處理后數據的隔離。
信托收益。有學者認為,鑒于信托財產僅包括數據控制者收集的初始個人數據,因此在個人數據信托中,信托產生的收益應僅限于作為信托財產的個人信息的信息安全,并不包含處理后形成的數據。雖然信托財產范圍不包括處理后形成的數據,但處理后的數據集合是以許多的個人信息為基礎單元形成的,信托收益中應給予各數據主體部分收益,這樣方能激勵各數據主體積極“出賣”數據,使得數據控制者獲得更多元化的數據以促進數據的流通利用。而信息安全義務應是作為受托人的數據控制者所應盡到的信義義務而非作為信托收益看待。
受托人的信義義務。《信托法》第26條第1款規定受托人不得利用信托財產為自己謀取利益。根據前述對信托財產范圍的了解,該條款也應解讀為數據控制者不得利用收集的個人數據為己謀利,但可利用處理后的數據為己謀利。在處理后的數據管理層面,數據控制者可兼顧個人信息安全保障的信托目的與自身的利益訴求,且若禁止其利用處理后的數據進行謀利,則數據控制者設立數據信托的動機將大為下降。我國《信托法》第29條規定了“將不同委托人的信托財產分別管理、分別記賬”的要求,同樣基于數據信托財產應僅包括收集的初始個人數據的考量,在我國法上并不會產生沖突。
(二)中國式數據信托的構建路徑
在明確前述兩個前置問題后,就可開始構建我國的數據信托模式。根據受托人的選擇不同,可分為由平臺企業作為受托人的“被動式”數據信托,以及由獨立第三方數據信托機構作為受托人的“主動式”數據信托。
1.“被動式”數據信托
“被動式”數據信托是由作為數據控制者的平臺提供免費服務以交換數據主體個人信息的模式,該情形下直接賦予平臺企業信義義務,使其承擔保障個人信息安全的概括性義務,數據主體即可避免現行“知情—同意”模式下需逐一對合同條款內容表示同意的弊端,在更高效的同時也能確保更為周延的信息安全保障義務。一旦產生糾紛,平臺企業需舉證證明自身已盡到忠實勤勉義務,并未泄露數據主體的信息,此種過錯舉證責任倒置的規則將更利于數據主體維權以獲得救濟。此外,數據主體在使用服務過程中產生的衍生數據,將由雙方共享,意味著數據主體可以將該部分數據再信托給其他第三方數據信托機構,而作為數據控制者的平臺企業自身也可利用此類衍生數據進行深度挖掘和處理,但仍需確保數據主體的信息安全。
2.“主動式”數據信托
該模式下,委托人同樣也是受益人,可以是作為數據主體的自然人,也可以是法人。就受托人而言,有觀點認為信托產品的設立與運行必須經由信托公司處理,但由于信托公司不能滿足對數據結構化處理的專業需求,故需由專門的數據公司協助,即信托公司和數據運營商同為受托人。數據交易生態的不斷發展,未來必將出現數據經紀、合規審核、數據交付等一系列“數商體系”,由此或可期待未來第三方數據信托機構的建立,即將信托公司與數據運營商的職能合二為一,從而使數據信托更為高效。
此外,“主動式”數據信托離不開數據主體的“分享”意愿程度,為更大程度激勵各數據主體將其個人信息進行信托,在制度設計中應給予其一定的收益,由此便可基于不同數據主體“出售”信息的意愿,獲取不同程度的個體數據以充分實現數據的流通利用,釋放數據要素價值。數據信托的信托財產范圍雖僅限于原始提供的個人信息,但當受托人集合諸多個人信息到一定程度時,即可對該數據池進行深度分析處理,打造成具有經濟價值的數據資產并提供給數據需求方進行訪問以獲取收益,此時作為組成單元的個體信息便可從中獲取該新產品一定的單位收益。同時,鑒于單獨的個人信息本身并無經濟價值,分析處理后形成的數據產品才具有經濟收益,故該信托模式下還可學習我國首例數據信托產品的經驗,通過吸納社會公眾投資者的資金以維持數據信托的日常運營。如此,數據信托中便還包括一個含社會力量的傳統信托產品,從而形成雙重信托關系。
該模式路徑下,各數據主體最終將獲取兩部分收益,即來自社會資金的部分收益以及新數據產品的單位收益;社會投資者則將獲得相應的信托收益;第三方數據信托機構除可獲取管理數據的相應報酬外,還將獲得經過處理后的新數據產品所有權,最終可以實現數據治理的雙重面向,在確保數據安全的前提下實現數據的最大化流通利用效果,釋放數據要素價值,形成良性閉環。
就數據信托產品中的數據類型而言,主要可分為兩類:一是具有公共性質的數據,可用于城市建設與社會公共服務,造福市民與社會;二是具有商業性質的數據,常用于金融行業與電商行業。在面對具有公共性質數據的信托時,為進一步推動此類數據的有序開放、共享與再利用,保障面向創新者的數據供給,對數據需求方應豁免或僅收取最小額度的數據使用費。如在新藥研發領域,大數據、人工智能與生物醫藥的融合創新需運用大量臨床科學數據,通過數據信托模式,共享利用數據可以大為縮短研發周期、降低研發成本,并完善人工智能的模型構建,訓練精確算法以提高研發成功率。在公共數據信托領域,英國已在多個領域開展試點,我國就該領域的信托試點或也可分行業分領域進行,醫藥研發即可成為首個試點領域。
五、結語
在如今“數據即資產”的數字經濟背景下,我們應協同發展數據治理的雙重面向,在強調保障個人信息的同時,也不應忽略數據在流通利用中所能產生的巨大經濟紅利。需明確的是,我們并不禁止利用個人信息,而是禁止濫用個人信息、泄露他人隱私的行為。個人信息除去私人屬性外,還具備公共利益屬性。從商業視角看,數據是重要的生產要素,在流通交易中潛力巨大。在立法層面,今后應積極回應科技元素對社會發展的重塑作用,樹立數據安全與數據流通的雙重理念,對個人數據權益讓渡持更加開放的態度。為促進我國數字經濟蓬勃發展,實現數據安全與流通的良性閉環,構建中國式數據信托模式,有利于打破現存“信賴赤字”問題,平衡數據主體與數據控制者間不平衡的權利義務關系,完善數據交易生態系統,保障市場的充足數據供給以推動社會高效運轉。
(責任編輯:張恩娟)
參考文獻:
[1]Kang,Jerry.Information privacy in cyberspace transactions[J].Stanford Law Review,1998.
[2]Calabresi G,Melamed A D.Property Rules,Liability Rules,and Inalienability;One View of the Cathedral[M].Oxford,England:Blackwell Publishing Ltd,2007.
[3]Lessig L.Code - version 2.0.[M].New York:Basic Books,Inc.2006.
[4]Neil Lawrence.Data trusts could allay our privacy fears[EB/OL].[2021-12-23].https://www.theguardian.com/media-network/2016/jun/03/data-trusts-privacy-fears-feudalism-democracy.
[5]MIT.10 Breakthrough Technologies 2021[EB/OL].[2021-02-24].https://www.technologyreview.com/2021/02/24/1014369/10-breakthrough-technologies-2021.
[6]Sean McDonald,Keith Porcaro.The Civic Trust[EB/OL].[2021-12-25].https://medium.com/@digitalpublic/the-civic-trust-e674f9aeab43.
[7]Open Data Institute.Data trusts:legal and governance considerations[EB/OL].[2021-12-23].http://theodi.org/wp-content/uploads/2019/04/General-legal-report-on-data-trust.pdf.
[8]Jack M.Balkin.Information Fiduciaries and the first amendment[J].U. C. Davis L. Rev,2016,49,1205-1209.
[9]Lina M Khan,David E Pozen.A Skeptical View of Information Fiduciaries[J].Harvard Law Review,2019,133,502-507.
[10]ODI.Data Trusts summary report[EB/OL].[2022-04-26].http://theodi.org/wp-content/uploads/2019/04/ODI-Data-Trusts-A4-Report-web-version.pdf.
[11]ODI.Illegal wildlife trade pilot;What happened when we applied a data trust[EB/OL].[2019-04-15].https://theodi.org/article/data-trusts-wildlife/.
[12]ODI.Metropolitan Police Open Data Strategy[EB/OL].[2022-04-26].https://theodi.org/article/metr-opolitan-police-open-data-strategy/.
[13]Data ownership.rights and controls:Reaching a commonunderstanding[EB/OL].[2018-10-03]https://royalsociety.org/-/media/policy/projects/data-governance/data-ownership-rights-and-controls-Octorbe-2018-pdf.
[14]Gianclaudio Malgieri.Property and Intellectual Ownership of consumers Information:A New Taxonomy for Personal Data[EB/OL].[2017-02-16].https://papers.ssrn.com.
[15]高富平.GDPR的制度缺陷及其對我國《個人信息保護法》實施的警示[J].法治研究,2022(3):17-30.
[16]龍衛球.數據新型財產權構建及其體系研究[J]. 政法論壇,2017,35(4):63-7.
[17]高志宏.隱私、個人信息、數據三元分治的法理邏輯與優化路徑[J].法制與社會發展,2022,28(2):207-224.
[18]吳泓.信賴理念下的個人信息使用與保護[J].華東政法大學學報,2018,21(1):22-36.
[19]解正山.數據驅動時代的數據隱私保護——從個人控制到數據控制者信義義務[J].法商研究,2020,37(2):71-84.
[20]冉從敬,唐心宇,何夢婷.數據信托:個人數據交易與管理新機制[J].圖書館論壇,2022,42(3):56-68.
[21]葉嘉敏.個人信息收集視域下數據信托解釋論研究[J].內蒙古社會科學,2022,43(2):94-103.
[22]國家知識產權局.國家知識產權局已開展數據知識產權保護試點[EB/OL].[2022-04-25].https://www.cnipa.gov.cn/art/2022/4/25/art_55_175294.html.
[23]吳丹君律師團隊.從首例數據合規不起訴案看數據合規價值及落實路徑[EB/OL].[2022-05-19].https://mp.weixin.qq.com/s/7ksC6328d1-DONDVCNzwAg.
